IA générative : 10 conseils pour stimuler la gouvernance de vos projets IA
Marina Kaganovich
Executive Trust Lead, Office of the CISO, Google Cloud
Anton Chuvakin
Security Advisor, Office of the CISO, Google Cloud
Contactez-nous
Si vous êtes une entreprise et que vous souhaitez vous développer, découvrez comment gagner en productivité avec Google Cloud ou contactez notre équipe commerciale.
Commencer iciVous avez certainement déjà entendu cette histoire : une multinationale, qui pourrait tout aussi bien être une simple organisation soumise à une réglementation complexe, voulait enrichir son portefeuille d’outils technologiques avec l’IA. Elle lance un projet pilote pour vérifier la faisabilité, sans trop savoir par où commencer. Mais, par nature, l’IA suppose une étude sur mesure qui - couplée à l’incertitude réglementaire qu’elle engendre - ralentit considérablement le processus jusqu’à la rendre inefficace. Résultat, l’organisation finit par reporter l’utilisation de l’IA à… une date ultérieure.
Le problème, c'est que le futur, c'est maintenant. Et la concurrence n’attendra pas. Dès lors, il est essentiel que les organisations s’approprient l’IA pour atteindre leurs objectifs - au lieu de remettre le problème à plus tard.
Un article sur le bon équilibre entre gouvernance des données et développement technologique soulignait que la question est désormais « cruciale » et « urgente ».
« Les dirigeants d'aujourd'hui ont très envie d'adopter les technologies d'IA générative. Reste à savoir quoi faire avec et comment assurer la gestion des risques et la gouvernance des modèles IA », explique-t-il. « D’autant plus que l’utilisation de l’IA dans le cadre d’une entreprise engendre potentiellement des risques en matière de précision, de confidentialité, de sécurité, de conformité réglementaire et de violation de la propriété intellectuelle ».
Comme pour d’autres innovations dans le domaine du numérique, la création d’une structure « programmatique » et reproductible peut apporter de la cohérence dans la démarche d’évaluation des cas d’usage de l’IA. Elle permet également d’opérer une supervision complète du processus qui prend en compte les différentes facettes d’une mise en œuvre sûre et conforme.
L'IA peut aider à relever de nombreux défis : pénibilité du travail, déferlement de menaces ou encore pénurie des talents. L'alignement sur les objectifs, la définition des rôles et des responsabilités, ainsi que l’élaboration de procédures pour résoudre les problèmes de manière hiérarchisée sont essentiels pour assurer la viabilité du projet et sa réussite. Dès lors, il convient de commencer tout projet par la mise en place d’une structure de gouvernance dont le rôle doit être clairement défini et aligné sur la stratégie globale de l’entreprise en matière d’IA.
Afin d’aider les organisations à relever ces différents défis, nous avons défini 10 meilleures pratiques pour fluidifier et simplifier la mise en œuvre de l'IA à grande échelle.
- Identifier les principales parties prenantes dans diverses disciplines, de sorte qu’elles puissent apporter leurs expertises respectives dans l'évaluation des initiatives d'IA. D’une entreprise à l’autre, les titres peuvent varier mais globalement, les représentants des fonctions suivantes doivent être représentés : infrastructure informatique, sécurité de l'information, sécurité des applications, risque, conformité, confidentialité, juridique, data science, gouvernance des données et équipes chargées de la gestion des risques tiers.
- Définir les principes directeurs de votre organisation en matière d'IA afin de formuler les exigences et les attentes fondamentales et de déterminer les cas d’usage qui sont clairement hors cadre. Les principes directeurs doivent être souples et ne pas être trop prescriptifs ; ils doivent refléter les engagements auxquels l'organisation ne dérogera pas, comme la protection de la vie privée des clients ou le contrôle par un humain des décisions générées par l'IA dans certains cas. À titre d’exemple, vous pouvez consulter les principes de Google en matière d’IA responsable.
- Utilisez un framework tel que le Secure AI Framework (SAIF) de Google pour une approche sûre et cohérente de l’IA. Il convient toutefois d’éviter les pièges des frameworks de sécurité : un framework n’est qu’un outil et le fait de l’utiliser ne signifie pas forcément que l’objectif est atteint. Envisagez plutôt un framework, tel que SAIF, comme un moyen pratique pour aborder la mise en œuvre de l'IA et s'assurer que les multiples facettes du projet sont bien toutes prises en compte. Typiquement, il convient d’intégrer l’inventaire des outils IA dans les processus de gestion des changements technologiques pour garantir que les déploiements d’IA sont à jour. De la même façon, les déploiements d’IA doivent être inclus dans les exercices de gestion des menaces, en considérant les nouveaux types d’attaques auxquels les outils d’IA peuvent être exposés.
- Documenter et mettre en œuvre des politiques et des procédures pertinentes pour la conception, le développement, le déploiement et l'exploitation de l'IA. La propriété de ces ressources varie généralement d'une équipe à l'autre. Une surveillance efficace de la gouvernance de l'IA nécessite un effort concerté pour maintenir l'exactitude, l'exhaustivité et l'alignement.
- Formuler les cas d’usage en fonction de la stratégie de l'organisation et de son appétence pour le risque. Classez-les par ordre de priorité business et par niveau de risque, en adaptant les contrôles de sécurité et de protection des données en conséquence.
- Intéressez-vous au programme de gouvernance des données de votre organisation, car les modèles IA supposent généralement des données de haute qualité, correctement sourcées, nettoyées et normalisées. Une sélection minutieuse du jeu de données et l’optimisation du modèle IA à vos besoins spécifiques peuvent également contribuer à minimiser le potentiel d'hallucinations et les risques d’injection d’éléments indésirables dans les prompts.
- Travaillez en collaboration étroite avec les équipes Conformité, Risque et Juridique. La réglementation en matière d’IA évolue rapidement. Pour préserver la conformité de son organisation et enrichir le processus de gouvernance global, il est impératif de s’aligner en permanence sur les exigences réglementaires.
- Définir des niveaux d’escalade, de sorte à disposer d’un processus de résolution clair et évident lorsqu’un problème surgit. Si certaines organisations préfèrent adresser leurs questions internes au service juridique, conformité ou sécurité des informations, d'autres préféreront confier la prise de décision à un comité désigné à cet effet.
- Prévoir des mécanismes pour assurer la visibilité de l'état d'avancement de chaque initiative IA, tant pour les parties prenantes internes (direction générale, conseil d'administration) qu'externes, dont notamment les organismes de réglementation concernés.
- Mettre en place un programme de formation dédié à l'IA afin d'aider l'ensemble de l'organisation à appréhender les concepts clés et les défis potentiels liés à l'IA. Une approche modulaire et ciblée, avec un contenu adapté au personnel en fonction de son rôle, peut également être utile pour favoriser le développement des compétences et sensibiliser aux pratiques à risque, telle que la Shadow IA.
Bien commencer avec l’IA générative
Commencez par identifier votre champion IA. Chargé de lancer le sujet au sein de l’entreprise, il doit occuper un poste de manager et avoir suffisamment de visibilité sur la stratégie de l'organisation en matière d'IA. Il devra développer une approche collaborative, indispensable pour rassembler toutes les parties prenantes de différentes disciplines, et communiquer sur les cas d’usage ainsi que sur la façon dont son organisation devra se mettre en ordre de marche pour atteindre les objectifs qu’elle se fixe. Notre série de cours en ligne Google Cloud Generative AI Skills Boost peut vous aider dans votre démarche, car elle propose une approche par la pratique avec des cas concrets.
Pour plus d'informations sur la sécurisation de l'IA, consultez nos documents « Securing AI: Similar or Different » et « Google Cloud’s Approach to Trust in AI ».